BLOG: Hoe zorg je ervoor dat leveranciers AVG-compliant zijn?
maandag 17 juni 2024
Organisaties vertrouwen steeds meer op externe partijen die diensten leveren. Het is van belang dat leveranciers die daarvoor persoonsgegevens verwerken ook voldoen aan de Algemene verordening gegevensbescherming (AVG).
Whitney Naomi van den Brand, adviseur bij L2P, vertelt wat er nodig is om de AVG-naleving van je leveranciers te waarborgen.
Een organisatie die persoonsgegevens deelt met externe leveranciers blijft ook na de verstrekking verantwoordelijk voor de bescherming ervan. De Algemene verordening gegevensbescherming (AVG) vereist dat een organisatie passende maatregelen neemt om ervoor te zorgen dat de verwerking van de verstrekte persoonsgegevens door leveranciers voldoet aan de wet.
Stappen in effectief leveranciersbeheer
Effectief leveranciersbeheer vermindert de risico’s van privacy-inbreuken en is daarmee een voorwaarde voor AVG-compliance. Er zijn twee stappen te onderscheiden.
· Bij de selectie van nieuwe leveranciers is een grondige beoordeling van belang. Het zogenoemde due diligence
proces geeft inzicht in de beveiligingsmaatregelen en het privacybeleid van de leverancier. Daarnaast verplicht de
AVG (in artikel 28) elke organisatie om verwerkersovereenkomsten af te sluiten met leveranciers die de beschikking
krijgen over persoonsgegevens. Een verwerkersovereenkomst legt de verantwoordelijkheden van de leverancier voor
dataprotectie vast.
· Voor de beoordeling van bestaande leveranciers is het nodig om periodieke audits uit te voeren. De audits stellen de
organisatie in staat om regelmatig te controleren of leveranciers nog steeds voldoen aan de AVG-vereisten.
Daarnaast is het mogelijk om leveranciers te vragen naar zelfevaluaties en andere rapporten over de maatregelen
die zij nemen om persoonsgegevens te beschermen.
Leveranciersmanagement als continu proces
Voor effectief leveranciersbeheer is het essentieel om steeds te monitoren hoe de dienstverleners en leveranciers die je inschakelt met de bescherming van persoonsgegevens omgaan.
· Het is belangrijk om heldere afspraken en procedures vast te leggen. Bijvoorbeeld over de manier waarop
leveranciers een incident (zoals een datalek) melden en oplossen. Soms ontstaan problemen doordat de
verantwoordelijkheden onduidelijk zijn, of de rolverdeling niet scherp is.
· Met een periodieke controle houd je zicht op de prestaties van leveranciers. Zo kan je tijdig eventuele
tekortkomingen identificeren en (laten) oplossen.
· Veranderingen in de gegevensverwerkingen van een organisatie, of in de werkwijze van een dienstverlener, hebben
soms implicaties voor de contractering. Door verwerkersovereenkomsten regelmatig te checken, zorg je dat de
contracten up-to-date zijn.
Van dataprotectie naar reputatiemanagement
Aandacht voor de AVG-naleving door leveranciers draagt bij aan de bescherming van persoonsgegevens én aan de reputatie van de organisatie. De samenwerking met betrouwbare leveranciers en de investeringen in goed leveranciersbeheer verkleinen immers de risico's van non-compliance en privacy-inbreuken. Het is dan ook zeker de moeite waard om werk te maken van voortdurende verbetering en bewustwording van gegevensbescherming. Binnen je eigen organisatie én bij je leveranciers.